I sistemi InfoTrax hanno scoperto una massiccia violazione dei dati solo dopo che gli aggressori hanno esaurito lo spazio di archiviazione
Leggi notizie su come gli hacker attaccano vari servizi online e si aiutano quotidianamente con le tue informazioni personali. Le violazioni dei dati fanno davvero parte della nostra vita di tutti i giorni e è improbabile che questo cambi presto. Ciò non significa, tuttavia, che i fornitori di servizi dovrebbero essere meno attenti ai tuoi dati. Sfortunatamente, la storia della violazione dei dati di InfoTrax Systems mostra che questo è esattamente ciò che sta accadendo.
InfoTrax offre una gamma di servizi IT e prodotti software alle aziende di tutto il mondo. La maggior parte dei suoi clienti sono aziende di marketing multilivello che gestiscono grandi quantità di dati che appartengono agli utenti finali, ma il modo in cui si svolgono gli eventi è la prova che il fornitore IT non stava facendo abbastanza per proteggere tutte queste informazioni.
Table of Contents
Come è stato violato InfoTrax
Tutto è iniziato nel maggio 2014 quando un hacker avrebbe sfruttato una vulnerabilità in un sito Web gestito da uno dei clienti di InfoTrax. Hanno eseguito codice dannoso, che ha permesso loro di assumere il controllo di uno dei server di InfoTrax. Hanno avuto la possibilità di guardare, eliminare e caricare file, ma all'inizio, hanno deciso di non fare alcun trucco che potesse sollevare sospetti. Apparentemente, nei successivi ventidue mesi, hanno avuto accesso al server per un totale di diciassette volte , ma non hanno fatto nessuno sforzo per rubare o alterare qualsiasi informazione.
Il 2 marzo 2016, tuttavia, l'attaccante ha iniziato a frugare nei database. In quel momento hanno avuto accesso ai dettagli personali di circa 1 milione di persone, inclusi nomi, indirizzi fisici ed e-mail, numeri di previdenza sociale, nomi utente e password. Alcuni dei dati appartenevano a sistemi legacy e avrebbero dovuto essere eliminati, ma le pratiche di gestione delle informazioni di InfoTrax erano così pessime che la società apparentemente non sapeva nemmeno della sua esistenza.
Più tardi quel giorno, l'intruso ha aperto un altro file di registro con centinaia di altri nomi e indirizzi, numeri di previdenza sociale e alcuni dettagli della carta di pagamento e informazioni sul conto bancario. Il 6 marzo, l'attaccante ha scoperto di poter scaricare dati di accesso in testo semplice, che avrebbero consentito loro di accedere agli account degli utenti finali su siti Web di proprietà di rivenditori multilivello.
Durante tutto questo, InfoTrax era completamente ignaro dell'attacco. In realtà, se non fosse stato per un errore da dilettante da parte dell'hacker, InfoTrax sarebbe stato probabilmente ignaro di questo fino ad oggi.
L'attaccante commette un errore sciocco
Avendo visto quanti dati si possono ottenere con relativa facilità, l'hacker ha deciso di crearne un grande archivio e scaricarli tutti in una volta. Il backup doveva essere creato sul server, tuttavia, e l'attaccante si è dimenticato di controllare quanto spazio di archiviazione è rimasto. Inevitabilmente, l'archivio ha riempito il disco rigido e InfoTrax ha ricevuto una notifica al riguardo. Questo è ciò che ha portato alla scoperta dell'attacco. Non è stata la fine, però.
Dopo aver appreso tutto sul 7 marzo 2016, InfoTrax ha preso provvedimenti per fermare l'intruso, ma a quanto pare, le precauzioni non erano abbastanza efficaci. Una settimana dopo, l'hacker ha iniettato codice dannoso in un sito Web gestito da uno dei clienti di InfoTrax. Con esso, hanno rubato le informazioni di pagamento durante il processo di pagamento. Il 29 marzo, il criminale ha utilizzato le credenziali di accesso rubate per caricare un altro script, che li ha aiutati a rubare ancora più dati personali e finanziari.
InfoTrax dovrà affrontare la musica
Il furto ha causato molto dolore ai clienti di InfoTrax e agli utenti finali. Dopo aver appreso della violazione, una delle società di marketing multilivello interessate ha assunto un call center di terze parti di proprietà di AllClear ID, Inc. per aiutare l'assistenza clienti a seguito dell'incidente. Secondo AllClear ID, quasi 300 utenti hanno riferito di essere stati truffati in qualche modo a causa della violazione di InfoTrax.
Non sorprende che la Federal Trade Commission abbia deciso di intervenire e presentare un reclamo . Secondo una soluzione proposta , InfoTrax non sarà autorizzato a elaborare alcun dato personale a meno che non dimostri che i suoi meccanismi di sicurezza sono abbastanza forti da impedire che incidenti simili si verifichino in futuro. Se questo rientra nella categoria "troppo poco, troppo tardi" è una tua decisione.
Anche senza la denuncia FTC, le conseguenze per il business di InfoTrax possono essere piuttosto gravi considerando gli errori di gestione delle informazioni di base che la società ha commesso. Speriamo che questa sia una lezione non solo per InfoTrax ma anche per altri fornitori di servizi IT.
